혁신 전쟁이 아니라 작아지기 경쟁에서 자꾸만 지고 있는 건 아닌지

[보안뉴스 문가용] 큰 사건사고가 터지지 않은 평범한 한 주였다. 일주일 동안의 뉴스를 정리해야 하는 기자만 빼놓고는 다행스러운 한 주였다고 볼 수 있다. 그런 와중에 눈에 띄는 두 가지 소식은 새롭게 발견된 안드로이드의 설치 취약점(Installation Vulnerability)과 미니 디도스의 강세와 관련된 것이었다.

1. 그건 어떻게?

안드로이드, 특히 플레이 스토어에서 취약점과 악성코드가 퍼진 게 하루 이틀 된 일도 아닌데 이 설치 취약점이 눈에 띄었던 건 공격이 들어오는 그 실낱같은 타이밍 때문이었다. 설치 취약점은 쉽게 정리하자면 해커가 설치 과정에 대한 제어권한을 가져오는 것인데, 이게 무슨 말이냐 하면 사용자가 스토어에 들어가 앱을 고르고 그 앱에 어떤 악성요소가 있는지 없는지 검사하는 시간과 검사 후 다운로드가 시작되는 시간의 고 얇디얇은 사이를 파고든다는 것이다. ‘검사’와 ‘통과’ 사이의 사실상 존재하지 않는다고 봐도 무방한 그 틈 노릴 생각을 어떻게 했을까?

2. 어려울 텐데?

한편 미니 디도스는 한 마디로 ‘눈에 띄지 않는’ 디도스 공격이라고 볼 수 있다. 디도스라 하면 서비스나 웹사이트 전체를 중단시키는 공격이기 때문에 눈에 안 띌 수가 없는데, 이 미니 디도스는 사용자 몰래 침투하고 잠복해 정보를 빼돌리고 무엇보다 다음에 올 보다 거대한 공격을 위해 방화벽을 깎아 놓고 닳게 한다. 눈에 안 띄는 것이야 모든 범죄자들이 당연하게 추구하는 것이지만, 해커의 경우 디도스를 감행하는 이유 중에 ‘상대의 공개적인 능욕과 자기 과시’도 있기 때문에 눈에 띄지 않게 디도스를 한다는 건 굉장히 크고 중요한 변화라고 볼 수 있다. 목적과 자기자신을 변화시키기란 굉장히 어려운 일 아니던가?

3. 꿈을 꾸나?

정보보안은 언젠가부터 방어막을 여러 단계로 펼치자는 ‘겹겹이 보안’ 혹은 레이어드 시큐리티(Layered Security)를 말하기 시작했다. 그물을 여러 겹 겹쳐서 그 구멍을 좁히자는 것이다. 실제로 그러면서 존재하는 틈새들이 점점 좁아지고 작아졌다. 하다못해 같은 층위의 백신이더라도 여러 제품을 사용하면 할수록 바이러스가 침투할 수 있는 틈이 작아진다. 각 백신의 커버 범위가 다르기 때문이다. 그런데도 해커들은 마치 비웃기라도 하듯이 더 작은 틈을 발견하고 뚫어내니 더 뭘 어떻게 해야 할까 하는 생각이 들 정도다. 방어자가 할 수 있는 일이란 최대한 빠르게 일어난 일을 해결하는 것뿐일까. 우리에게 사고예방이란 이루지 못할 꿈일까?

4. 왜 자꾸?

희망이 있다면 사실 해커들도 그렇게까지 획기적이거나 새롭지 않다는 것이다. 미처 생각하지 못한 틈새를 발견했다고는 하지만 이는 오래된 안드로이드 버전에서만 통하는 취약점이며, 여전히 스피어피싱 등의 오래된 수법을 동행하며, 그렇기 때문에 일단 발견된 이후에는 대처가 그리 어렵지 않다는 것이다. 실제 패치가 나오는 기간은 대체적으로 굉장히 짧다. ‘혁신’ 자체는 어쩌면 보안업계에서 더 많이 나오고 있을 수도 있다. 이번 주만 하더라도 열을 통해 에어갭 네트워크를 뚫어내는 법과 해커들의 언어 습관을 활용해서 미리 악성 도메인의 생성을 막아내는 법까지도 개발 중에 있다는 소식이 있었다. 그렇다면 왜 계속 당하고 또 당하는 것인가?

5. 겹치는 게 능사?

이제 겹겹이 보안, 혹은 레이어드 시큐리티 다음을 말해야 할 때라고 생각한다. 수많은 겹으로 방어막을 설치했을 때 틈을 100% 없앨 수도 없을뿐더러 오히려 사용자의 경험 혹은 편리성에만 큰 피해가 있다는 걸 여태까지 경험해왔다. ‘귀찮다’로 대변되는 사용자들의 부정적인 경험이 하나 둘 쌓여 가는데, 레이어만 계속해서 늘여갈 수는 없다. 미니 디도스처럼 공격은 치밀하고 단계별로 일어나고 있으며 이들은 곧 개봉한다는 미션 임파서블의 톰 크루즈처럼 삼엄한 경계망과 나이든 몸을 가지고도 어떻게든 뚫어내고 만다. 그렇다면 다음은 무엇일까?

6. 해킹은 작아지는데?

해킹 공격의 트렌드를 다시 한 번 살펴보자. 작은 틈새의 설치 취약점, 작은 버전의 디도스인 미니 디도스. 결국 뭔가 더 작아지는 방향으로 해킹 공격은 흘러가고 있다. 그렇다면 정보보안도 같은 방향을 쫓아가야 하는 게 자연스러운 결론이 아닌지. 즉 작아지는 보안, 존재감 측면에서는 ‘겹겹이 보안’과 정 반대의 입장을 취하는 것에 우리의 답이 있지는 않을까?

7. 작아질 수 있을 때?

작아진다는 건 보안시장의 축소를 말하는 게 아니다. ‘보안’ 자체가 보다 작은 것들에 눈이 뜨여야 한다는 것이다. 작은 것을 볼 줄 안다는 건 살면서 늘 경험해오듯이 마음을 얼마나 쏟느냐에 달려 있다. 관심이 깊으면 깊을수록 작은 것들이 자세하게 보이는 법이다. 가슴 아픈 짝사랑 해보고, 자식을 키워보고, 내가 하는 일에 수많은 강장제를 쏟아부어봤다면 이미 알고 있는 사실이다. 즉 시선이 작아지려면 최소 두 가지 조건이 충족되어야 하는데 이는 바로 1) 내 일이어야 하며 2) 마음이 가는 일이어야 한다는 것이다. 그러니 겹겹이 보안을 한다는 외주 보안업체가 자기 일도 아닌 우리 회사의 네트워크를 세심하게 신경써 준다는 게 사실은 한계가 분명한 일이다. 그렇다면?

8. 작은 보안, 아니, 만연한 보안

그래서 다시 한 번 강조하지만 이제 보안은 작아져야 한다. 눈에 안 띌 정도로 작아져 사라져야 한다. 대신 각 업체, 조직, 기관 안으로 녹아들어가야 한다. 그래서 그 조직의 보안이 보안담당자의 ‘내 일’이 되어야 하고, ‘내가 잘 이해’하고 있어서 아주 세심한 부분의 일들까지도 감지할 수 있어야 한다. 작고 만연해야만 가능한 소리다.

이제 1분기가 저물어가고, 에브도를 비롯해 매일 같이 터지는 테러 소식에 익숙해지자 ‘보안은 미리 막을 수 있어야만 한다’고 외치던 해외 매체들에서도 ‘보안의 역할은 서포팅’이라는 메시지가 점점 늘고 있다. ‘보안은 셀링 포인트(Selling Point)가 될 수 없다’는 Threat Post의 팟캐스트 방송 역시 지금 시점에서는 대단한 통찰이라고 보인다. 보안은 당연히 있어야 할 오장육부 같은 것이지 붙였다 떼었다 사고 팔 수 있는 것이 아닌 품목이 되고 있다. 보안은 아직도 제자리를 찾고 있는 중이다. 그리고 그 제자리는 만연해있기 때문에 잘 안 보이는 건지도 모르겠다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>